Filtra los resultados en casos

En este documento, se explica cómo usar los parámetros de filtro de SCC Enterprise: Conector de hallazgos urgentes de la postura para que los casos contengan solo resultados que pertenezcan a categorías específicas.

Los casos, los conectores y la transferencia, el filtrado y el bloqueo de los hallazgos son una funcionalidad con la tecnología de Google Security Operations.

Descripción general

El nivel Enterprise de Security Command Center usa SCC Enterprise - Urgent Posture Findings Connector para recuperar, analizar y transferir los hallazgos de postura en casos. El conector analiza los datos sin procesar de los resultados para filtrar y agrupar los hallazgos en casos según la configuración proporcionada.

Puedes filtrar los resultados mediante los parámetros del conector para garantizar lo siguiente:

  • El conector solo transfiere los resultados que pertenecen a categorías específicas.

  • El conector excluye de la transferencia los hallazgos que pertenecen a categorías específicas.

Configurar filtros

Los parámetros de filtro del conector te permiten especificar las categorías de los resultados que se transfieren. De forma predeterminada, el conector transfiere todos los tipos de hallazgos de todos tus recursos y proveedores de servicios en la nube. Configurar los valores predeterminados de los parámetros puede afectar el flujo de procesamiento del caso.

Si configuras parámetros de filtro, el conector transfiere solo las categorías de resultados configuradas para un parámetro de filtro seleccionado.

Para ver y editar los parámetros del conector, completa los siguientes pasos:

  1. En la consola de operaciones de seguridad, ve a Configuración > Transferencia > Conectores.

  2. Selecciona el conector de SCC Enterprise - Urgent Posture Findings Connector. Se abrirá la página de configuración de parámetros del conector.

Todos los parámetros de filtro aceptan varios valores en una lista separada por comas. Para habilitar filtros específicos, configura los siguientes parámetros opcionales del conector:

  • GCP Project Filter: Especifica desde qué proyectos de Google Cloud se transfieren los resultados. Puedes enumerar uno o más nombres de proyectos para garantizar la cobertura requerida. Si no proporcionas ningún valor para este parámetro, el conector transfiere los resultados de todos tus proyectos de forma predeterminada.

    Por ejemplo, para asegurarte de que el conector transfiera alertas de tus proyectos de Google Cloud example-project-three y example-project-four y que ignore otras, proporciona el siguiente valor de parámetro: example-project-three,example-project-four.

  • Asset Type Filter: Especifica qué tipos de elementos transferir sin dependencia del proveedor de servicios en la nube. Puedes enumerar uno o más tipos de recursos para garantizar la cobertura de filtros requerida. Si no proporcionas ningún valor para este parámetro, el conector transfiere tipos de elementos de todos tus proveedores de servicios en la nube conectados de forma predeterminada.

    Por ejemplo, para asegurarte de que el conector transfiera alertas desde el bucket de Cloud Storage y una instancia de Compute Engine, además de ignorar otros tipos de elementos, proporciona el siguiente valor de parámetro: google.cloud.storage.Bucket,google.compute.Instance.

  • Cloud Provider Filter: Especifica desde qué proveedores de servicios en la nube transferir alertas. Si no proporcionas ningún valor para este parámetro, el conector transfiere alertas de todos tus proveedores de servicios en la nube conectados de forma predeterminada.

    Por ejemplo, para asegurarte de que el conector transfiera alertas de tu instancia de AWS e ignore los resultados de otros proveedores, configura el siguiente valor del parámetro: AWS. Para transferir solo los resultados de Google Cloud, establece el valor del parámetro en GCP.

  • AWS Account Filter: Especifica de qué IDs de cuenta de AWS se deben transferir alertas. Si no proporcionas ningún valor para este parámetro, el conector transfiere los resultados de todas tus cuentas de AWS de forma predeterminada.

  • Severity Filter: Especifica la gravedad de los resultados que se transferirán.

Excluir la categoría de hallazgo de la transferencia

Usa la configuración de la lista dinámica para excluir de la transferencia las categorías de resultados específicas.

Para configurar la lista dinámica, sigue estos pasos:

  1. En la consola de operaciones de seguridad, ve a Configuración > Transferencia > Conectores.

  2. Selecciona el conector de SCC Enterprise - Urgent Posture Findings Connector. Se abrirá la página de configuración del conector.

  3. En la sección Lista dinámica, haz clic en agregar Agregar.

  4. En el campo Nombre de la regla, proporciona el nombre de una categoría de resultado para filtrar:

    1. En la consola de Google Cloud, ve a la página Descripción general.

      Ir a Descripción general

    2. En la lista de hallazgos de vulnerabilidades, selecciona la categoría de hallazgo. Se abrirá la ventana de categoría de búsqueda.

    3. En la pestaña JSON, busca la siguiente línea:

      "category": "FINDING_CATEGORY",
      
    4. Copia el valor FINDING_CATEGORY (sin comillas) y proporciónalo en el campo Nombre de regla de la lista dinámica del conector.

  5. Opcional: Agrega tantos campos en Nombre de la regla a la sección de lista dinámica como necesites.

  6. En la sección Parámetros, selecciona Usar una lista dinámica como lista de entidades bloqueadas.

  7. Haz clic en Guardar.

Próximos pasos